【風(fēng)險(xiǎn)通告】Drupal遠(yuǎn)程代碼執(zhí)行漏洞
2020-11-19 00:00:00
11月19日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Drupal官方發(fā)布安全更新�,修復(fù)了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,CVE-2020-136781���。
該漏洞風(fēng)險(xiǎn)等級(jí)為高危�,建議相關(guān)用戶及時(shí)將Drupal升級(jí)到最新版本,避免遭受惡意攻擊����。
漏洞描述
Drupal是使用PHP語(yǔ)言編寫(xiě)的開(kāi)源內(nèi)容管理框架。Drupal存在遠(yuǎn)程代碼執(zhí)行漏洞�,由于Drupal core 沒(méi)有正確地處理上傳文件中的某些文件名,攻擊者通過(guò)上傳惡意文件��,在某些特定的配置下可能會(huì)被當(dāng)做PHP解析�,從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
風(fēng)險(xiǎn)等級(jí)
高危
影響版本
Drupal < 9.0.8
Drupal < 8.9.9
Drupal < 8.8.11
Drupal < 7.7.4
修復(fù)建議
1. 升級(jí)到安全版本�;
2. 對(duì)Drupal目錄下的文件進(jìn)行排查,主要檢查具有多個(gè)擴(kuò)展名的文件���;
安全版本:
Drupal 9.0.8
Drupal 8.9.9
Drupal 8.8.11
Drupal 7.7.4
參考鏈接
https://www.drupal.org/sa-core-2020-012
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/11/19